Beiträge von warakurna

ast:
Danke für den Tipp! Erst jetzt konnte ich den Ordner vernünftig mit meinem Virenscanner überprüfen.

Habe übrigens diese Anleitung benutzt: http://support.microsoft.com/default.aspx?scid=kb;de;810881

Wie mache ich das jetzt wieder rückgängig? Wenn ich unter Eigenschaften -> Sicherheit -> Erweitert meinen Namen aus der Liste Berechtigungseinträge lösche und auf Ok klicke, dann kommt folgende Meldung, die angehängt ist. Wird der Vollzugriff dann automatisch wieder auf System umgestellt, wenn ich "Ja" klicke?

Grüße...

Nein, habe ich nicht! Deswegen mußte der Service dran glauben!

Moin...

Beim Säubern meines Systems bin ich im HijackThis-Logfile auf folgende Zeile gestoßen, die mir vorher nie aufgefallen ist:

O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE

Dabei kann es sich um einen Virus handeln, muß aber nicht zwangsläufig so sein. Wenn es eine infizierte Datei ist, dann simuliert sie einen Service von System Internals. Habe die Datei durch einige OnlineScanner geschickt.

Panda spuckte dies aus:
Psshutdown.A is a hacking tool that allows a hacker to shut down or restart the victim's computer (similarly to the Unix "shutdown" command). Restarting the computer could cause loss of all the information that has not been saved. Psshutdown.A can be used by several worms and Trojans with malicious intentions.

Da es sich um einen simulierten Service handelt wird die Datei von vielen Scannern als unbedeutend abgetan. Ich habe den Service jetzt gelöscht, alles ist ok.

Also, nur als Info, falls jemand selbiges in seinem Logfile findet!

Grüße...

Moin...

Habe eure Tipps befolgt und alles ist wieder in Butter. Handelte sich tatsächlich um Spyware...

@kaiser:
Wußte gar nicht, daß man seinen Logfile so leiccht auswerten lassen kann. Danke für den Tipp!

Habe beim Fixen eine andere fragwürdige Datei gefunden. Siehe dazu Threat "PSSDNSVC.EXE"

Großen Dank und Grüße

Moin...

@kaiser:
Jo, werde mal den Eintrag versuchen zu fixen und mein Logfile auswerten lassen. Sitze an der Uni und bin Diplomand, Rechner ist mein Privatlaptop.
Das System läuft superstabil, deswegen werde ich mal die Variante von Helloween versuchen...
Den Namen des Trojaners habe ich mir in meinem jugendlichen Leicht weder notiert noch gemerkt!

Danke erstmal an alle und Grüße...

Hier das Logfile von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 20:13:04, on 04.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Tools\Systemdiagnose\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\http://EXCEL.EXE/3000
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicAccess/ie/bridge-c32.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1120222098325
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp03.photoprintit.de/microsite/defa…geUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = min.uni-hannover.de
O17 - HKLM\Software\..\Telephony: DomainName = min.uni-hannover.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFBC7F97-F178-46A1-9C09-A351E768C8FE}: NameServer = 130.75.104.1,130.75.104.2,130.75.1.32,130.75.1.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = min.uni-hannover.de
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Irgendwelche Probleme? Ich habe keine gefunden...
Grüße...

Jo, das habe ich mir schon gedacht, da hatte ich auch nie Zugriff drauf. Aber wie kommen da die Trojaner rein? Wäre ja mal ganz schön, wenn man in den Ordner wenigstens schauen könnte, oder?

Grüße

Moin...

Gestern hatten wir erst 'ne Trojaner-Diskussion (s. Threat mit ms32.exe) und nun habe ich selbst ein Problem. Naja, man soll sich ja nie zu früh freuen...

Also...
Habe heute zweimal einen Trojaner im Verzeichnis "C:\System Volume Information" gehabt. Antivir hat mich darauf hingewiesen und ich habe ihn mit Antivir auch gelöscht, das meine ich jedenfalls. Denn weder auf Laufwerk C, noch auf D habe ich Zugriff auf diesen Ordner. Wenn ich auf ihn doppelklicke, dann erscheint das, was ich angehängt habe.

Weiß jemand Rat?! :oops:

Moin...

Top-se:
Ja, das kenne ich schon. Aber wenn ich die Ansichten für einen Ordner wieder ändere, um mal was anders darzustellen, dann speichert das System die geänderte Ansicht für diesen Ordner. Es müßte doch gehen, daß man eine Einstellung (wie Du gezeigt hast) für alles einstellt und auch nach geänderten Ansichten diese wiederhergestellt wird. Vielleicht kann man das ja auch mit TuneUp einstellen, ich werde mal schauen...

Grüße...

Moin...

@n.a.:
Ja, hast recht! Aber für mich sieht es so aus. Ich weiß, daß es keine perfekte Firewall gibt. Für mich reicht's so, falls dann doch mal was passiert baue ich auf unser kompetentes Forum und mein gezogenes Image...

Grüße...

Der Kaiser hat recht!

Als ich ZA auf meinem System hatte, hatte ich öfters Probleme mit meiner Systemauslastung und ewigen Systemstarts. Zudem hat die Firewall ab und an mal was durchgelassen. Die XPeigene ist nicht schlecht, aber ich würde eher eine benutzen, wo man wirklich sieht was abgeht in Sachen Traffic.
Habe da mal Test in meheren einschlägigen Zeitschriften gelesen und mich dann wie schon geschrieben für Sygate entschieden. Läuft super, System sauber, alles dicht!

er.call:
Welchen Aufwand meinst Du denn? Die Datei, die betroffen ist, läßt sich ganz einfach löschen, was Du ja schon beschrieben hast. Ich würde XP nicht gleich neu aufsetzen oder auf Linux umsteigen, nur weil ich einmal so 'ne Datei auf den Rechner habe. Das passiert vielen! Also nicht nicht gleich aufgeben...

Grüße...

er.call:
Deswegen halte Deine Anti-Spyware-Software und den Virenscanner auf dem neuesten Stand!

Das soll nicht heißen, daß Du jeden Tag ein Update ziehen mußt, was bei langsamen Internetverbindeungen wohl nervig ist. Aber allermindestens einmal pro Woche sollte man es schon tun. Wenn es geht, dann aktiviere bei solchen Dingen automatische Updates oder laß Dich von den Programmen daran erinnern. Falls Du XP SP2 hast (was Du solltest), kannst Du entweder die windowseigene Firewall aktivieren oder, falls Du der nicht vertraust, eine andere installieren (ich persönlich benutze Sygate Personal Firewall, die ist kostenlos)...

Solche Dinge fängt man sich schnell ein, wenn man nicht aufpaßt. Befolgt man aber einige Grundregeln, dann hält sich die Gefahr in Grenzen!

Grüße...

Moin...

Auch wenn er.call sein Problem mittlerweile gelöst hat...
Ich habe mal nach ms32.exe gegoogelt und das hier gefunden. Damit man endlich mal weiß, um was es sich überhaupt handelt.

Hier ein paar Links:
http://www.trendmicro.com/vinfo/virusenc…e=TROJ_SMALL.JE
http://forum.hijackthis.de/archive/index.php/t-6704.html

Das hätte man gleich machen können, dann wäre alles viel schneller gegangen! :wink:

Grüße

Moin...

Das ist ein leidiges Thema unter XP. Ich habe auch das Problem und es macht keinen Spaß immer wieder alles umzustellen.
Ich habe mal irgendwo gelesen, daß XP nur ein "Gedächtnis" für 3000 Ordneransichten hat, wenn die voll sind, geht alles wieder von vorne los.
Mit TuneUp kann man diesen Wert in System Control auf 7000 erhöhen. Mich würde aber auch interessieren wie man das dauerhaft hinbekommt, daß nur ein Ansichtstyp, z. B. Details oder Kacheln, in jedem Ordner angezeigt wird.

Grüße

Moin...

Ergänzend zu den Links vom Kaiser, hier noch einer von mir:
http://www.netzwerktotal.de/netzwerkwinxp.htm

Ich war da früher auch nicht so bewandert und habe danach eigentlich gleich alles richtig hinbekommen!

Viel Spaß...

Moin...

Vollkommen kurios! Das Problem hat sich erledigt!
Wie gesagt, es handelt sich um den Rechner meines Vaters, absolut clean mit XP Home und SP2 (neuester Stand).

Nachdem ich den Tipp mit sfc/scannow dankend angenommen und ausprobiert habe, wurde ich aufgefordert eine XP-CD einzulegen. (Die Suche nach dieser hat sich bei der Ordnung meines Vaters als eine echte Herausforderung herausgestellt! :oops: )
Nun ja, CD eingelegt (XP Home, aus dem Herbst 01, also alt) und prompt kam eine nächste Aufforderung eine XP Pro-CD einzulegen. Es ist nur XP Home installiert (s. o.), also habe ich abgebrochen und habe über die Systemwiederherstellung nachgedacht. Als ich aber nun einen Rechtsklick auf eine Laufwerk oder einen Ordner machte, da war wieder alles ok. Warum?!

Die Wege von Windows können manchmal unergründlich sein.

Grüße und vielen Dank für eure Ratschläge...

Moin...

Ich empfehle das hier:
http://www.free-codecs.com/download/Codec_Pack_All_in_1.htm

Grüße...

Hallo Herr Kaiser

Jo, alles sauber, habe keine Ahnung, warum. Sicherheitscheck wird regelmäßig gemacht! TuneUp habe ich und der Cache wird auch immer fleißig geleert. Bin vollkommen ratlos...

Ein gutes: nicht mein Rechner! Aber trotzdem, so kann's nicht weitergehen...

Grüße

Moin...

Folgendes Problem:
Beim Rechtsklick auf ein Laufwerk (z. B. um die Eigenschaften aufzurufen) geht der explorer gnadenlos in die Knie, kommt aber sofort wieder.

Fehlermeldung:
explorer.exe - Fehler in Anwendung
Die Anweisung in "0x026c9b52" verweist auf Speicher in "0x02bb0eaa". Der Vorgang konnte nicht auf dem Speicher durchgeführt werden.

Klicken Sie "OK", um das Programm zu beenden.
Klicken Sie "Abbrechen", um das Programm zu debuggen.

Weiß einer Rat, ich nicht. Debuggen funktioniert nicht!

Grüße

Moin...

Das ist aber nix für die Laberecke! Modedit: Richtig. Habs verschoben... Freddie

Also, der Nachrichtendienst muß ausgeschaltet werden, da er nur Ärger macht und für solche Nachrichten, die Du bekommen hast das Tor zu Deinem Rechner sehr offen hält!
Also SP2 schleunigst installieren, oder wenn Du das nicht machen willst, dann lade Dir XPAntispy herunter. da kannst Du solche bösen Sachen in Deinem Windows schön deaktivieren.

Grüße...